Идентификация пользователей VoIP
Я ищу способ идентифицировать как можно больше пользователей VoIP в сети ISP с помощью анализа пакетов.
Моя установка такова:
На моем основном коммутаторе весь трафик, входящий и выходящий из гигабитного порта 1, направляется на гигабит2, где у меня подключен сервер linux.
Вот что я пытался:
Я запустил tshark с фильтрацией для моих сетей и стандартных портов SIP. Что-то вроде:
tshark -i eth0 -f "(net 1.2.3.4/24 or net 4.5.6.7/24) and (port 5060 or port 5061)" -w ./outfile
Запускал это более недели, затем искал в выходном файле список уникальных IP-адресов.
Я вижу несколько пользователей SIP таким образом, но не так много, как я должен. Что-то не так с этим подходом? Насколько я понимаю, большинство крупных потребительских VoIP-продуктов, таких как Vonage, используют SIP для передачи сигналов.
Что (я думаю) я хочу:
Я хочу на самом деле классифицировать протоколы, ища SIP, RTP и т. Д. Если я установлю L7 Filter, я могу использовать iptables, чтобы отметить интересующий меня трафик, но я не знаю, куда бы я пошел оттуда, чтобы получить список уникальных IP-адрес.
Я открыт для любых предложений.
2 ответа
Лучшим выбором для мониторинга трафика, вероятно, будет sflow - взгляните на документы производителей сетевого оборудования для настройки его на коммутаторах. Для агрегаторов взгляните на что-то вроде Argus или, если вы просто хотите захватить данные sflow для процесса, см. Инструментарий Inmon sflow.
Существуют и другие протоколы, которые используются в дикой природе, поскольку MGCP в основном отключается, вы можете увидеть SCCP или, более вероятно, некоторые соединительные линии IAX. Также обратите внимание, что Skype использует полностью проприетарный протокол P2P.
Я использовал оборудование, такое как Packeteer, анализировало и определяло приоритеты этого трафика в прошлом, но ваше описание подсказывает мне, что это, вероятно, не будет коммерчески целесообразным для вас.
Что заставляет вас думать, что у вас больше пользователей, использующих VoIP, чем вы видели?
Итак, настоящий вопрос в том, что вы пытаетесь отследить? Если это обычная телефонная система, я бы поддержал предложение Zypher о проверке УАТС, если это не вариант, я бы предложил подтвердить, что рассматриваемые устройства действительно используют SIP. Я поддерживал среду с телефонами Shoretel VOIP и обнаружил, что, хотя некоторые конференц-телефоны работают с протоколом SIP, подавляющее большинство телефонов используют MGCP.